在网络准入的选型和实施过程中，802.1X和Portal认证是两种最常被拿出来比较的技术方案。很多企业的决策者在听到这两个词的时候，反应是"我知道，一个是有线的，一个是无线用的"。这个理解不能说完全错，但确实太简化了。实际上两者在技术原理、适用场景、部署难度上差异明显，选错了不但白花钱，还可能把网络搞得更难管。

这篇文章不是讲技术原理的，而是帮企业在选型阶段先把判断框架搭起来。

两种认证方式的基本逻辑

802.1X 的认证发生在设备接入网络的时候，是一个"先认证再通信"的机制。在支持 802.1X 的网络环境中，设备接入交换机端口后，在完成身份认证之前，端口是不放行任何流量的，只有认证通过之后才会开放网络访问。这个过程由 Supplicant（终端）、Authenticator（网络设备，通常是交换机）、Authentication Server（认证服务器，通常是 RADIUS）三方配合完成。

Portal 认证也叫 Web 认证或者客户端自注册认证，设备接入网络后可以访问 Portal 页面，在页面上输入账号密码或者完成其他身份验证后，才能访问更多网络资源。Portal 认证不依赖网络设备本身的准入能力，只需要在出口做策略控制即可。

两者的根本区别在于：802.1X 把准入控制做在了网络层，Portal 把准入控制做在了应用层。这个差异直接影响适用场景和部署条件。

什么情况下优先选 802.1X

802.1X 的优势在于安全性和管控精度。因为设备在接入的那一刻就已经被管控了，未认证的设备连交换机端口都通不过，更别说访问内网资源了。同时 802.1X 可以结合 RADIUS 协议返回动态 VLAN、动态 ACL 等授权策略，实现精细化的接入控制——不同部门、不同角色的设备接入后，自动被分配到不同的网络区域，不需要手动调整交换机配置。

如果企业的场景有以下特征，802.1X 是更合适的选择：

安全性要求高，尤其是对接入设备有强管控需求。比如研发区域、财务区域、核心机房，这些区域的设备必须经过严格认证才能接入，而且希望做到接入即管控。

需要按用户身份做动态网络授权。802.1X 和 RADIUS 联动，可以根据用户账号返回不同的 VLAN 或者 ACL 策略，员工工牌刷卡接入后自动进入自己所属部门的网络，不需要手动切换。这在人员流动性大的企业里特别有用。

有线网络基础设施支持。802.1X 需要接入交换机支持 EAP 协议，如果是新采购的交换机这一点很容易满足；但如果是既有网络，就需要确认现有交换机是否支持。较老的二层交换机往往不支持 802.1X，这种情况下强行部署需要更换交换机，成本会大幅上升。

终端标准化程度高。802.1X 需要终端侧安装客户端或者使用系统原生 Supplicant，Windows、macOS、Linux 都有内置支持，但如果企业里有大量非标准设备（比如工业终端、特殊设备）可能就不支持。

什么情况下优先选 Portal

Portal 认证的最大好处是部署门槛低、不挑网络设备。设备接上网线就能获取 IP，访问 Portal 页面完成认证后即可放行。对网络基础设施没有特殊要求，只要有出口网关或者路由器就行，实施成本相对可控。

以下场景更适合 Portal：

访客和临时设备接入为主。这是 Portal 最典型的使用场景。访客自带设备、临时参会人员的笔记本，不可能要求他们安装企业 802.1X 客户端，让他们通过 Portal 页面输入访客账号接入，是最实际的方案。

网络设备老旧，不具备 802.1X 改造条件。如果交换机不支持 802.1X 且没有更换计划，Portal 是目前最可行的准入替代方案，虽然管控精度不如 802.1X，但至少能做到"有账号才能用内网"。

不想做太重的网络改造。802.1X 部署需要改动接入交换机、配置 RADIUS 服务器、对接 AD/LDAP 账号体系，工程量不小。如果只是想先解决"不知道谁在用网络"的盲区问题，先上一套 Portal 准入试试水，也是合理的过渡策略。

移动设备接入场景较多。手机、平板等移动终端对 802.1X 的支持不如 PC 完善，通过 Portal 页面认证体验更好。而且无线场景下 Portal 认证本身也是主流方案之一。

两者的主要局限

说了这么多优点，也要说说局限。

802.1X 的主要问题在于部署复杂度和终端适配。有线网络部署 802.1X 需要交换机、认证服务器、账号体系三方联动，任何一方配置有问题都会导致认证失败，故障排查难度比 Portal 高很多。而且对于哑设备（打印机、摄像头、IoT 传感器等），802.1X 的认证方式适配起来比较困难，需要用到 MAB（MAC Authentication Bypass）等兼容机制，但这样管控精度又会下降。

Portal 认证的主要问题在于安全性相对弱一些。设备在未认证状态下已经分配了 IP，虽然不能访问内网，但理论上可以做地址扫描等探测行为。Portal 的策略控制粒度也不如 802.1X 精细，通常只能做到"认证后全放行"或者"认证后按账号区分策略"两级，难以像 802.1X 那样做基于设备类型、接入端口、用户身份的多维策略。

另外，Portal 认证的体验依赖浏览器，移动设备体验参差不齐，有时光样式兼容性问题就会导致认证页面显示异常。

实际上很多企业是两个都用

看到这里可能有人会问：既然各有优劣，能不能两个都上？答案是可以，而且这是目前最常见的做法。

一个典型的混合方案是这样的：员工终端接入有线网络走 802.1X，实现精细化管控；访客和外来设备走 Portal 认证，既满足了安全要求又不会给访客增加麻烦；哑设备走 MAB 认证，不影响正常接入但纳入资产管理范围。三个通道各司其职，覆盖不同的设备类型和使用场景。

这种混合方案的关键在于：准入系统要能同时支持多种认证方式，并且能把所有认证数据统一管理、统一分析。如果买了三套不同的系统各自管一摊，维护成本会很高，而且数据孤岛问题会让后续的合规审计很难做。

选型之前该问的几个问题

回到最初的问题：802.1X 和 Portal 怎么选。与其直接比较参数，不如先问清楚自己企业的实际情况：

第一，现有网络设备是否支持 802.1X，如果不支持是否有意愿更换。答案是不能的话，802.1X 方案基本不用考虑。

第二，管控的主要对象是员工还是访客。如果是员工为主且需要精细管控，优先考虑 802.1X；如果管控重心在访客和外来设备，Portal 够用。

第三，是否有哑设备接入需求。工厂车间里有大量无法安装客户端的设备，这些设备怎么处理要提前规划。

第四，运维团队能否支撑 802.1X 的部署和维护。802.1X 故障排查比 Portal 复杂得多，运维能力不足的情况下强行上，后期会很痛苦。

把这几个问题想清楚，选型方向基本就定了。